使用IP安全策略(IPSec)提高服务器安全性

已于 2023-09-17 13:51:10 修改
阅读量489 收藏 1
点赞数
文章标签: 网络 ip 服务器
于 2023-09-13 13:42:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/acura/article/details/132848976
版权

现如今的网络非常不安全,有很多国外的IP(肉鸡,傀儡机)对你的服务器进行端口扫描,发现漏洞,然后进行暴力破解,一旦攻入成功,你的服务器就变成他们的新肉鸡或者植入木马病毒对你进行勒索。如果你想服务器端口只想被国内IP访问,那么可以使用我这个脚本工具,它是利用IPSec策略实现的,Windows系统下(从2000,2003,2008,2012,2016,2019,2022)都可以使用。

IPSec介绍
IPSec 是一种开放标准的框架结构,它通过使用加密安全服务来确保 IP 网络上保密安全的通信。Windows 的 IPSec 执行基于由 Internet 工程任务组 (IETF) IPSec 工作组开发的标准。
IPsec 可建立从源 IP 地址到目标 IP 地址的信任和安全。只有那些必须了解通信是安全的计算机才是发送和接收的计算机。每台计算机都假定进行通信的媒介不安全,因此在各自的终端上处理安全性。
IPSec 策略用于配置 IPSec 安全服务。支持TCP、UDP、ICMP、EGP等大多数通信协议,可为现有网络中的通信提供各种级别的保护。可以根据计算机、域、站点的安全需要来配置策略。
IPSec 策略由常规 IPSec 策略设置和规则组成。 下面以命令行的角度讲述 IPSec 策略的创建和使用,比较直观。

用到的IP库来自https://ispip.clang.cn/
下载IP库文本,然后进行简单替换,就是将里面的/替换成空格
原来
1.0.1.0/24
1.0.2.0/23
1.0.8.0/21
1.0.32.0/19
替换成
1.0.1.0 24
1.0.2.0 23
1.0.8.0 21
1.0.32.0 19

脚本说明

@echo off
setlocal enabledelayedexpansion

echo 此程序,添加ipsec策略,限制某端口,只允许国内IP访问
set /p polname=请输入默认策略名(不明白可直接回车):
set /p allowport=请输入要限制的端口:
set /p portdes=请输入端口用途:
if "%polname%"  == "" set polname=IPSEC

rem 添加策略动作,策略名
netsh ipsec static add filteraction name=denyact action=block
netsh ipsec static add filteraction name=allowact action=permit
netsh ipsec static add policy name=%polname%

rem 删除原有的规则、筛选器
netsh ipsec static delete rule name=%allowport%-%portdes%-ALLOW policy=%polname%
netsh ipsec static delete filterlist name=%allowport%-%portdes%-ALLOW

rem 添加筛选器,通过递归方式添加文本中所有IP,允许访问的端口
netsh ipsec static add filterlist name=%allowport%-%portdes%-ALLOW
for /F "tokens=1,2 delims= " %%i in ('type ALL_CN_IP.txt') do (
netsh ipsec static add filter filterlist=%allowport%-%portdes%-ALLOW srcaddr=%%i srcmask=%%j dstaddr=Me dstport=%allowport% protocol=TCP  mirrored=no
)
netsh ipsec static add rule name=%allowport%-%portdes%-ALLOW policy=%polname% filterlist=%allowport%-%portdes%-ALLOW filteraction=allowact

rem 添加这个端口默认拒绝的筛选器
netsh ipsec static add filterlist name=%allowport%-%portdes%-DENY
netsh ipsec static add filter filterlist=%allowport%-%portdes%-DENY srcaddr=any dstaddr=Me dstport=%allowport% protocol=TCP mirrored=no
netsh ipsec static add rule name=%allowport%-%portdes%-DENY policy=%polname% filterlist=%allowport%-%portdes%-DENY filteraction=denyact

rem  为了防止启用安全策略后,连不上服务器,策略会在1分钟后自动取消
echo IPSEC策略将在1分钟后取消, 请在安全策略中指派
ping -n 1 -w 60000 127.255.255.255 > %temp%\null
netsh ipsec static set policy name="%polname%" assign=n
rem  打开安全策略,重新手动指派
secpol.msc

应用后效果
 

acura
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
ipsec netsh五步
04-22
说明使用netsh配置ipsec的步骤,配置完毕后两台pc可以通过ipsec协议通信
Windows 2000 安全配置
03-11
本模块详细介绍了可完善 Microsoft® Windows® 2000 操作系统安全性的各种安全设置。模块中的表格描述了各设置所能达到的安全目标,以及实现这些目标所需采取的配置操作。其中的设置是按照 SCE 界面中的类别分类的...
安全防御 --- IPSec理论(01)
weixin_62443409的博客
05-04 9660
是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议,在IP层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet上传输数据的安全性
arp欺骗任意ip伪造-突破ipsec
dibodang1423的博客
05-16 177
这几天比较背,碰上的所有服务器都用了windows的安全策略,比如3389与1433只对特定的ip可以访问。就算搞定了同网段的机器,也没法连接或者扫到一些信息。arp欺骗就算搞到了3389密码,也没法的登陆呢。 结合群里面的讨论与hsren的交流,打算下一步大概要实现以下目标: 目标a计算机,有ipsec策略限制,对ip为b的才能连接。假设已经搞定了a同网段的c机器,现在我的机器ip...
windows10 LTSC 设置 IPsec 安全策略部署
最新发布
王嘞嘞的前端之路
02-20 550
方法:在windows10 中进行设置部署。设置安全策略,也就是 IPsec,需求:某个虚拟机要求只能使用一个固定ip进行远程,其他的ip都不行。阻止所有就选阻止,允许则就选许可。一、创建 IPsec。三、IP 筛选器设置。
命令行创建IP安全策略IPSEC),让系统更安全
skyyx2002的博客
06-21 3817
Windows有一些非常危险的端口,关闭它们可以预防许多未知的风险!
Windows PC 间实现IPSec通信
qq_44484541的博客
04-10 2213
实验环境:准备两台主机
伪造 IP 地址的原理和防范措施
weixin_43578304的博客
08-26 2651
在数字化时代,网络安全是至关重要的话题。其中,伪造 IP 地址是一种可能导致网络攻击和欺诈的技术手段。这里将深入探讨伪造 IP 地址的原理以及如何采取措施来防范这种风险。
网络安全保障措施.docx
06-09
它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.防火墙产品主要有堡垒主机,包过滤路由器,应用层网关代理服务器以及电路层网关,屏蔽...
网络安全工程师.docx
06-09
3、熟悉tcp/ip协议,熟悉sql注入原理和手工检测、熟悉内存缓冲区溢出原理和防范措施、熟悉信息存储和传输安全、熟悉数据包结构、熟悉ddos攻击类型和原理有一定的ddos攻防经验,熟悉iis安全设置、熟悉ipsec、组策略等...
园区网络安全设计.docx
06-07
网络防火墙部署 网络系统建设不但要考虑系统整体可靠性,对于网络系统整体安全性也成为系统建设重要考虑点。 在核心交换机上层部署防火墙安全设备,来提高整个网络系统安全性能。防火墙能将内网与不安全的外部网络...
网络安全复习重点.doc
06-09
16、安全策略用于定义对数据包的处理方式,存储在安全策略数据库中;IPSec双方 利用安全联盟中的参数对需要进行IPSec处理的包进行IPSec处理,安全联盟存储在安 全联盟数据库中。 17、传输模式和隧道模式的区别在于...
安全防御之IPsec VPN篇
weixin_67259816的博客
04-14 4856
该篇文章主要是对IPSEC的总结和实践。包括架构的理解,流程的分析,在路由器和防火墙上的配置。
windows服务器设置IP安全策略仅通行指定IP
Arnew_H的博客
07-27 4150
然后找到一个方案说,加个筛选器,源地址选择我的IP,目前地址选择本机IP+掩码(192.168.1.0/24),然而不行。重新插上键盘,发现共享盘是本地的,懵,看了下部署文档,samba用的非默认端口,做了本地端口转发(再加备份服务器的通过,筛选器“备份服务器”-->操作“通过”-->应用-->确定。然后到处点点了,突然好了,重新试了下,问题找到了,在"全部"筛选器里面把。先加全部的阻断,筛选器“全部”-->操作“阻断”-->应用-->确定。先把操作建好,一共有三个,我们只用到了阻止和许可,就先建两个。
windows IPSec配置
热门推荐
xiaopan233的博客
11-17 1万+
在linux中,过滤一个端口直接用iptable禁止就好了。但windows中就有些麻烦,需要在本地安全设置那里进行设置。 1)先看端口开启情况 进入cmd,输入命令netstat -na,查看端口开放情况 可以看到,开放了445这个危险端口。 2)进入本地安全设置新建规则 在管理工具->本地安全策略进入本地安全设置。在”IP 安全策略,在 本地计算机中“右键“创建一个IP安全...
netsh ipsec 使用方法
刘鹏春的专栏
11-07 1万+
IPsec  (Internet Protocol security) 在命令行下,通过netsh ipsec static来配置IPSEC安全策略。前提是IPSEC服务已经打开。 一个IPSEC由一个或者多个规则组成;一个规则有一个IP筛选器列表和一个相应的筛选器操作组成;这个筛选器列表和筛选器可以是系统本身所没有的,如果没有则需要自行建立,而一个筛选器又由一个或多个筛选器组成,因此配置IP
【初步了解网络原理】IP安全策略和相关网络概念
おうせき碩の博客
12-15 1549
  [catalog]     1. IP安全策略简述   2. 创建IP安全策略限制IP访问   3. 创建防火墙入站规则限制IP访问(测试成功)   4.IP地址、网关、端口、网段、子网掩码、MAC地址、DNS概念   5. 【每日一面】IPv4 与 IPv6 的区别     1. IP安全策略简述 IP安全策略IP Security Policy)是一个给予通讯分析的策略,它将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合,然后决定是允许还是拒
IP安全策略图解
sam1012的专栏
04-25 1287
<br />WindowsXP专业版自带的IP安全策略,其功能并不比一些免费的防火墙差,可以关闭或开启端口,可以封掉指定的IP地址,还可以封掉指定的域名。只是设置起来有点麻烦,以下以封掉指定域名为例,讲述设置过程。<br /><br /><br />(一)添加IP安全策略<br /><br />1.<br />运行gpedit.msc组策略,点击“计算机配置”→“windows设置”→“安全设置”,用鼠标右键点击“IP安全策略”,在弹出菜单中点击“创建IP安全策略”,点击“下一步”; <br /><br /
网络层安全协议ipsec
05-26
IPsec(Internet Protocol Security)是一种网络层安全协议,它提供了网络数据的加密、认证和完整性保护。IPsec协议可以被用于保护所有的IP通信,包括IPv4和IPv6。IPsec协议是在传输层协议(如TCP和UDP)之上工作的,并且可以被用于提供点到点或网间的安全性IPsec协议提供了两种主要的安全性服务:认证头(Authentication Header,AH)和封装安全载荷(Encapsulating Security Payload,ESP)。AH提供了数据的完整性保护和源主机的认证,而ESP提供了数据的加密、完整性保护和源主机的认证。 IPsec协议的优点包括: 1. 网络安全性IPsec协议提供了在网络层的安全性,这意味着所有的应用程序都能受益于它,而不需要进行任何修改。 2. 灵活性:IPsec协议可以被用于点到点连接、网间连接和虚拟专用网络(VPN)。 3. 加密:IPsec协议提供了数据的加密,可以确保数据在传输过程中不被窃取或篡改。 4. 认证:IPsec协议提供了源主机的认证,可以确保数据来自合法的发送者。 5. 完整性保护:IPsec协议提供了数据的完整性保护,可以确保数据在传输过程中不被篡改。 总之,IPsec协议是一种可靠的网络层安全协议,可以确保数据的安全性、完整性和可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值